【作 者】：网站采编
【关键词】：
【摘 要】：文章目录 0 引言 1 Windows x64堆栈 1.1 Windows x64堆栈分配 1.2 调用堆栈和堆栈帧 2 堆栈重构方法分析 2.1 具有帧指针的函数的堆栈跟踪 2.2 没有帧指针的堆栈跟踪 2.3 现有技术存在的问题 3 W

文章目录

0 引言

1 Windows x64堆栈

1.1 Windows x64堆栈分配

1.2 调用堆栈和堆栈帧

2 堆栈重构方法分析

2.1 具有帧指针的函数的堆栈跟踪

2.2 没有帧指针的堆栈跟踪

2.3 现有技术存在的问题

3 Windows x64堆栈跟踪

3.1 堆栈跟踪方法

    3.1.1 获取x64进程的用户上下文

    3.1.2 利用元数据的堆栈重构

    3.1.3 基于指令流的堆栈重构

3.2 基于Volatility插件实现

4 测试与分析

4.1 测试方法

4.2 评价指标

4.3 实验结果分析

    4.3.1 有元数据的进程测试

    4.3.2 无元数据的进程测试

    4.3.3 不同进程类型测试

    4.3.4 不同操作系统版本测试

5 结论

文章摘要:为解决64位Windows环境中，现有工具针对含有恶意进程的转储文件中没有堆栈帧指针和调试符号时，构建的堆栈取证会产生漏报问题和没有元数据时构建的堆栈取证会产生错报问题，提出了从内存转储构建堆栈跟踪方法。从内存转储中检索目标进程的用户上下文，确定堆栈跟踪的起始点，然后基于异常处理的元数据展开。如果元数据不可用，使用基于指令流的验证方法生成等效数据。基于框架Volatility实现了相应插件，实验表明，方法不依赖堆栈帧指针和调试符号，利用元数据可获取更加完整的堆栈跟踪;没有元数据时，基于指令流的验证可以极大地提高取证的精确性。

文章关键词:

项目基金: